能力值:
( LV2,RANK:10 )
|
-
-
2 楼
可以通过写驱动实现 Line hook 把复制,剪切粘贴等API hook掉,这个就能达到这个效果,原理如现在的大型网络游戏驱动保护是一个原理。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
可以说得再具体些吗?谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
如果你是想监控在资源管理器里面进行这些操作,你就HOOK 进程:explorer.exe ,SHFileOperation 这个API ,例如我们一般在桌面上面什么复制,删除,剪贴什么的都是调用他。对付一般的人这样可以了。
当然你也可以HOOK createfileA,copyfile,deletefile 等等。
如果不怕蓝屏 可以上文件过滤驱动,还是R3下搞搞,最多死进程。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
其实也可以在3环用SetWindowshookEx函数把复制、剪切等函数的导出地址给HOOK掉,也可以实现这个功能。
原理,就是把原复制、剪切函数地址用HOOk函数替换成你自己的函数地址,这样就可以实现过滤了,当然你在自己的函数中过滤完用户操作后,必须要调用原复制、剪切函数来实现复制、剪切等操作,不然被你眯HOOK掉的电脑就没复制、剪切这个功能了。具体的也不是一句能说完的,你可以去看看,以前的基于3环HOOK的病毒原理。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
挂钩函数监控信息不全,比如对网络路径的复制操作;要挂钩的函数太多,而且处理不好会让系统或者程序不稳定。
对文件变化监控,在上层去处理就有非常好的办法,比如用SHChangeNotify的方法去做,会避免出现上述问题,而且不需要去打开要监控的磁盘句柄(比如你的USB盘符),完全能满足你的要求。
自己MSDN一下就有
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
谢谢,我先去查查看。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
你好 ,这个好像无法把路径搞到吧?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
这个好像不能监控路径啊?
|
|
|
|
